La Cour de justice de l’Union européenne, par une décision du 19 octobre 2016, précise le régime juridique de la protection des données. Elle examine si une adresse de protocole internet dynamique constitue une information personnelle quand un tiers détient seul l’identité de l’utilisateur.
Un particulier a consulté des sites internet gérés par des services publics fédéraux afin d’accéder à diverses informations administratives mises en ligne. Pour prévenir des attaques cybernétiques, ces sites enregistrent les adresses internet des visiteurs au terme de chaque session de navigation sur le réseau.
Le demandeur a sollicité devant les juridictions administratives l’interdiction de cette conservation systématique qu’il jugeait alors contraire à ses droits fondamentaux. Après un premier rejet, la juridiction d’appel saisie du litige a partiellement fait droit à sa demande pour les sessions d’identification volontaire.
La Cour fédérale de justice d’Allemagne a ensuite sursis à statuer pour interroger les juges européens sur l’interprétation de la directive communautaire. La Cour de justice affirme que ces adresses sont des données personnelles si le fournisseur peut légalement obtenir l’identification de l’usager concerné.
Elle invalide également toute règle nationale interdisant la poursuite d’intérêts légitimes généraux sans effectuer une pondération concrète des droits en présence.
I. L’élargissement de la notion de donnée à caractère personnel par l’identification indirecte
A. La qualification de l’adresse IP dynamique comme donnée protégée La Cour précise que les adresses de protocole internet dynamiques ne permettent pas d’identifier directement une personne physique par leur seule lecture. Cependant, le droit de l’Union européenne définit les données personnelles comme « toute information concernant une personne physique identifiée ou alors identifiable ».
L’usage du terme « indirectement » par le législateur suggère qu’une identification médiatisée suffit à caractériser une donnée protégée selon la directive applicable. Cette approche permet d’inclure des éléments qui, une fois combinés à d’autres informations, révèlent l’identité précise d’un utilisateur du réseau mondial.
L’adresse dynamique associée à la date de consultation fournit ainsi des indications réelles sur les situations matérielles privées d’un individu quelconque. La juridiction européenne confirme sa jurisprudence relative aux adresses fixes en l’adaptant aux spécificités techniques des attributions temporaires de numéros internet.
B. Le critère de l’accessibilité raisonnable des informations d’identification L’identification de l’utilisateur repose souvent sur des fichiers détenus par le fournisseur d’accès internet, tiers au traitement réalisé par l’exploitant. La Cour considère que cette répartition des informations n’exclut pas la qualification de donnée personnelle pour le premier responsable du traitement.
Elle se réfère aux « moyens susceptibles d’être raisonnablement mis en œuvre » par le responsable pour identifier effectivement la personne physique concernée. L’existence de voies légales permettant d’obtenir l’identité de l’abonné auprès du fournisseur d’accès constitue un tel moyen d’identification raisonnablement envisageable.
L’identification n’est donc pas irréalisable en pratique ni interdite par la loi, ce qui rend le risque de reconnaissance de l’individu réel. Cette interprétation garantit un haut niveau de protection des libertés fondamentales face aux capacités techniques croissantes des divers acteurs du monde numérique.
II. La primauté de l’intérêt légitime du responsable de traitement sur les restrictions nationales
A. L’incompatibilité des limitations législatives catégoriques avec le droit de l’Union La seconde question porte sur la validité d’une loi nationale limitant la collecte des données aux seuls besoins de facturation des services. La Cour rappelle que la directive européenne établit une liste exhaustive des cas où le traitement de données personnelles est jugé licite.
L’intérêt légitime du responsable figure parmi ces principes fondamentaux que les États membres ne peuvent restreindre de manière trop générale ou arbitraire. Une législation interdisant la conservation des données pour assurer la sécurité globale du service après la session de navigation méconnaît ces dispositions impératives.
Les États ne sauraient ajouter des exigences supplémentaires modifiant la portée des principes de légitimation prévus initialement par le législateur de l’Union. La volonté de protéger la vie privée des citoyens ne doit pas aboutir à une suppression totale de la marge d’appréciation nécessaire.
B. La nécessaire pondération des intérêts pour garantir la sécurité des services en ligne L’intérêt légitime à garantir la continuité du fonctionnement des médias en ligne justifie le traitement de certaines données au-delà de la session. La Cour censure toute réglementation qui exclurait cet objectif du champ de la pondération prescrite par le droit de l’Union européenne en vigueur.
Le juge national doit pouvoir équilibrer les droits fondamentaux des personnes avec les nécessités impérieuses de protection contre les attaques par déni de service. Cette décision impose aux autorités des États membres de permettre une analyse au cas par cas de la proportionnalité des mesures techniques.
La sécurité des systèmes d’information constitue un intérêt légitime majeur justifiant parfois une atteinte strictement limitée à la confidentialité absolue des données. La solution retenue assure ainsi une application uniforme du cadre juridique européen sur l’ensemble du territoire des pays membres de l’Union.
